阅读量:3
在Linux系统中,审计用户登录行为可以通过多种方式实现,包括使用系统自带的工具、配置日志记录以及使用第三方安全工具。以下是一些常见的方法:
1. 使用 auditd 工具
auditd 是Linux内核自带的审计系统,可以用来监控和记录系统中的各种活动,包括用户登录行为。
安装 auditd
sudo apt-get install auditd audispd-plugins # Debian/Ubuntu
sudo yum install audit # CentOS/RHEL
配置 auditd
编辑 /etc/audit/auditd.conf 文件,确保以下配置项存在并正确设置:
log_format = RAW
log_target = SYSLOG
name_format = none
添加审计规则
编辑 /etc/audit/rules.d/audit.rules 文件,添加以下规则来监控用户登录行为:
-a exit,always -F arch=b32 -S execve -k user_login
-a exit,always -F arch=b64 -S execve -k user_login
-w /etc/passwd -p wa -k passwd_change
-w /etc/shadow -p wa -k shadow_change
重启 auditd 服务
sudo systemctl restart auditd
查看审计日志
sudo ausearch -k user_login
2. 使用 syslog 和 auth.log
大多数Linux发行版会将用户登录信息记录在 /var/log/auth.log 或 /var/log/secure 文件中。
查看登录日志
sudo tail -f /var/log/auth.log # Debian/Ubuntu
sudo tail -f /var/log/secure # CentOS/RHEL
3. 使用 last 命令
last 命令可以显示系统上所有用户的登录和登出记录。
查看登录记录
last
4. 使用 w 命令
w 命令可以显示当前登录系统的用户及其活动。
查看当前登录用户
w
5. 使用第三方安全工具
还有一些第三方安全工具可以帮助审计用户登录行为,例如:
- Fail2Ban: 可以监控日志文件并自动封禁恶意IP地址。
- OSSEC: 一个开源的主机入侵检测系统(HIDS),可以监控日志文件并发送警报。
安装 Fail2Ban
sudo apt-get install fail2ban # Debian/Ubuntu
sudo yum install fail2ban # CentOS/RHEL
配置 Fail2Ban
编辑 /etc/fail2ban/jail.local 文件,添加以下配置:
[DEFAULT]
bantime = 600
findtime = 600
maxretry = 3
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
重启 Fail2Ban 服务
sudo systemctl restart fail2ban
通过以上方法,你可以有效地审计Linux系统中的用户登录行为,确保系统的安全性。
以上就是关于“Linux日志中的用户登录行为如何审计”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm